アイデンティティ管理のためには、以下の仕組みが必要。
- 識別(ユーザごとに固有のログインID)
- 認証(ログインIDに対応するパスワード)
- 認可(ユーザごとの適切なアクセス権限の付与)
また、上記の識別⇒認証⇒認可の一連の流れでログを取得することで説明責任を果たせるようになる。
アイデンティティ管理のためには、以下の仕組みが必要。
また、上記の識別⇒認証⇒認可の一連の流れでログを取得することで説明責任を果たせるようになる。
組織が持つ代表的な役割とそれらの責任を把握することは、セキュリティ的にも重要である。
セキュリティに関連する役割の一例を以下に示す。
以下のような役割があげられる。
組織の上層部にて、各役割におけるポリシー策定を行ったり、組織に義務を課す。
以下のような役割があげられる。
セキュリティ関連の問題について経営陣に助言したり、セキュリティポリシーの作成に携わったりする。
以下のような役割があげられる。
組織内でセキュリティ活動を行う。通常は上級セキュリティ担当者の配下に位置する。
ITシステムの管理者や技術者も、セキュリティ的に
といった役割を担うことがある。
従業員は厳密にはセキュリティ関連の業務には従事しないが、
といったことを求められる。
CISSPにおいて、セキュリティはあくまでも「ビジネスの目的達成のためのサポート機能」であることは重要。
セキュリティファースト(例えば、何が何でもセキュリティが第一優先。ユーザーの不便は仕方ない。といった感じ)な考え方は、CISSP的には明確に誤りである。
ガバナンスとは、目的や目標を達成するために必要な管理である。
意思決定のために必要となる
を含んだものとして定義される。
セキュリティガバナンスにおいては、説明責任(そのためのログ取得)が付随すること押さえておく。
デューケアは「組織が顧客に対して負う義務」であり、セキュリティ的に考えると「脅威の発生を抑制・予防可能なシステムを構築すること」である。
デューデリジェンスは「(デューケアによる)改善が機能しつづけていることの確認」である。
最初にデューケアし、デューデリジェンスしつづけることがセキュリティを保つうえで重要なことである。
これらを達成するためには理性的(論理的・証拠に裏付けられた・状況に応じて適切な)で慎重な(極端なリスクをとったり異常でない、似たような背景を持つ人であればとると想定される)行動が求められるとされる。
Safety(安全性)は「物理的な損害や人身事故や死亡事故を防ぐこと」である。
とくにCISSPでは「Safety」といえば「人間の生命の安全」を指す。また、CISSPにおいて人間の生命は第一に優先されるものである(破壊から元に戻せない資産が最も重要である、という考え方)
Privacy(プライバシー)として特に重要なことは
の2点。
プライバシーガイドライン(OECD 1980年発表、2013年改定)はプライバシー基本8原則として
を定めている。